摘要: 传统的银行打劫只能选择针对一家银行的分支,数字时代的打劫可以把整个银行一窝端。一群黑客去年针对了一家巴西大型银行,在某个周六的下午,重路由银行所有在线访客到他们控制的钓鱼网站,让银行的客户顺从的交出他们的账号信息。 卡巴斯基研究人员称,黑客在去年...
传统的银行打劫只能选择针对一家银行的分支,数字时代的打劫可以把整个银行一窝端。一群黑客去年针对了一家巴西大型银行,在某个周六的下午,重路由银行所有在线访客到他们控制的钓鱼网站,让银行的客户顺从的交出他们的账号信息。
卡巴斯基研究人员称,黑客在去年 10 月 22 日下午 1 点修改了银行所有 36 个域名的 DNS 注册信息, 窃取了访问这些域名的银行客户的登录凭证。
研究人员还相信,黑客可能还重定向了所有 ATM 或零售终端的交易到他们控制的服务器,窃取了当时刷卡的客户的信用卡信息。研究人员称,在 5 到 6 个小时内,银行的所有在线业务都控制在黑客手中。
卡巴斯基没有披露银行的名字,只是表示这家银行有数百家分支,有 500 万客户,超过 270 亿美元的资产。卡巴斯基表示,它不知道此次攻击的损失规模,认为这次攻击对其它银行敲响了警钟。
域名系统或DNS作为在互联网引擎盖上运行的关键协议:它将字母数字字符(如Google.com)的域名转换为IP地址(如74.125.236.195),代表实际位置在这些机器上托管网站或其他服务的电脑。但攻击这些记录可能会占用网站,或者更糟的是将其重定向到黑客选择的目的地。
例如,2013年,叙利亚电子军黑客组织改变了“纽约时报”的DNS注册,将访问者重定向到带有标志的页面。最近,未来对DNS供应商的僵尸网络攻击打倒了主要的网路,包括亚马逊,Twitter和Reddit。
但巴西的银行攻击者则以 更为关注和利润驱动的方式利用了受害者的DN S。卡巴斯基认为,攻击者破坏了该银行在Registro.br的账户。这是NIC.br的域名注册服务,网址为巴西.br顶级域名的网站注册商,他们也管理了该银行的DNS。研究人员认为,随着访问,攻击者可以同时更改所有银行域名的注册,将其重定向到攻击者在Google云平台上建立的服务器。
通过该域名劫持,访问银行网站网址的任何人都被重定向到外观上的网站。这些网站甚至以银行名义发布了有效的HTTPS证书,以便访问者的浏览器会显示一个绿色锁定和银行名称,就像它们与真实网站一样。卡巴斯基发现证书已在六个月前由Let’s Encrypt发行,获得HTTPS证书的非营利认证机构更容易,希望增加HTTPS的采用。
“如果一个实体获得了对DNS的控制,从而获得对领域的有效控制,那么该实体可能获得我们的证书,”我们加密创始人Josh Aas说。“ 这种发行不会构成我们的错误发行,因为接收证书的实体将能够正确地证明对领域的控制 。”
最终,劫机是如此的完整,银行甚至不能发送电子邮件。“ 他们甚至不能与客户沟通,向他们发出警报 ,”Bestuzhev说。“如果您的DNS受到网络犯罪分子的控制,您基本上是被困了。
除了网络钓鱼之外,欺骗性网站还将恶意软件下载感染到受害者,该恶意软件下载伪装成对巴西银行为客户提供的Trusteer浏览器安全插件的更新。
根据卡巴斯基的分析,恶意软件不仅仅来自巴西银行以及其他八家银行登录,还收集了电子邮件和FTP凭据以及Outlook和Exchange的联系人列表,所有这些都是命令和控制服务器托管在加拿大。
该木马还包括一个功能,用于禁用防病毒软件;对于受感染的受害者,发生攻击时可能会持续超过五小时的窗口。恶意软件包括葡萄牙语的废料,暗示攻击者本身可能是巴西人。
END
转自 wired.com深圳市极限网络科技有限公司(简称“极限网络”)成立于2009年4月,是一家专注智能机器人与安全系统集成的专业网络安全公司,成立至今为我国关键信息基础设施、重要政府部门、大型企事业单位及重点行业提供了全面、专业的网络安全解决方案。
更多
